Actualités

“Les trois campagnes ont fourni des liens uniques imitant les services de raccourcissement d’URL” : mise en lumière entremêlant des exploits 0-day d’Alien et Predator, depuis 2021 ! (avec un soupçon de Pegasus…)

Jamais – malheureusement – bien loin, Pegasus fait à nouveau (à demi) parler de lui : l’équipe sécuritaire TAG (Threat Analysis Group) de Google a publié, dans un billet du 19 Mai 2022, ses mises en lumière concernant trois campagnes asseyant des exploits 0-day fondés sur des malwares-spywares Android ; d’une part, Alien, qui découlait lui-même de Cerberus et était spécialisé dans l’ex-filtration de données bancaires et, d’autre part, Predator, un spyware découvert par les équipes de CitizenLab en Décembre 2021. Ce dernier, issu de l’entreprise Cytrox, spécialisée dans les “cyber-solutions opérationnelles” (logiciels gouvernementaux du même acabit que ceux proposés par NSO Group, par l’entremise, notamment, de Pegasus), a été observé en tant que spyware : Predator visait à recueillir des informations sur les terminaux de journalistes ou activistes ainsi ciblés (au moins entre Mars et Octobre 2021 en notant que l’activité de l’entreprise remonte à 2017) alors-même que ces terminaux été déjà vérolé par Pegasus…

 

 

Nous évaluons que ces campagnes ont livré Alien, un simple malware Android en charge du chargement Predator, un implant Android décrit par CitizenLab en décembre 2021. Alien vit dans plusieurs processus privilégiés et reçoit des commandes de Predator sur IPC. Ces commandes incluent l’enregistrement de l’audio, l’ajout de certificats CA et la cachette des applications“, complète le billet sécuritaire de Google TAG.

Du reste, voici un condensé des retours-investigations sur les trois campagnes ainsi observées pour l’année 2021 :

 

  • CVE-2021-38000 (au moins depuis Août 2021) : détournement des URLs d’intention (qui transite vers une redirection – HTTP – 302 lors du clic-lien de l’utilisateur avec un ping-pong – ouverture – en application externe type navigateur Samsung et le serveur, en terme de communication) sous Chrome ;
  • CVE-2021-37973 + CVE-2021-37976 (au moins depuis Septembre 2021) : toujours dans le cadre d’un exploit observé depuis un terminal Samsung sous navigateur Chrome, deux vulnérabilités observées. D’une part, un contournement des APIs Portals et des sous-trames “fenced”. D’autre part, via une ex-filtration potentielle dans la mémoire-mojo(m) dont la purge pouvait contenir des adresses pour un contournement par ASLR (Address space layout randomization). L’évasion du bac à sable amorce un nouvel exploit (téléchargé) sous p.so (data/com.android.chrome) pour permettre une élévation de privilèges ;

 

  • CVE-2021-38003 + CVE-2021-1048 (au moins depuis Octobre 2021 ; Septembre 2020 pour la seconde vulnérabilité) : toujours, également, dans les mêmes conditions de tests-PoC (Samsung + navigateur Chrome), deux autres exploits de type 0-day. Le premier permettait un contournement en exploitant JSON.stringify pour procéder à une évasion depuis TheHole pour pleinement compromettre le rendu. Quant au second exploit, il visait le noyau Linux via un bug de ce dernier (epoll(), appel-système) en ciblant spécifiquement la sandbox du sytème (BPF) pour permettre, en finalité, une élévation de privilèges.

 

 

 

En notant que la vulnérabilité CVE-2021-1048 a été comblée le 6 Novembre 2021, même s’il est souligné “c’est compliqué” en terme de précision dans le billet sécuritaire de l’époque… A veiller !

 

 

 

Source : Google TAG – 19 Mai 2022 – Predator : 5 vulnérabilités 0-day impliquant étroitement l’entreprise Cytrox (et Pegasus).




  • 50% J'apprécieVS
    50% Je n'apprécie pas
    Pas de commentaire

    Laisser un commentaire

    ;) :zzz: :youpi: :yes: :xmas: :wink: :whistle: :warning: :twisted: :sw: :sleep: :sg1: :schwarzy: :sarko: :sante: :rollol: :roll: :rip: :pt1cable: :popcorn: :pff: :patapai: :paf: :p :ouch: :oops: :o :non: :na: :mrgreen: :mdr: :macron: :love: :lol: :kissou: :kaola: :jesuisdehors: :jap: :ilovesos: :idea: :houra: :hello: :heink: :grumpy: :fume: :frenchy: :fouet: :fouet2: :first: :fessee: :evil: :dispute: :demon: :cryy: :cry: :cpignon: :cool: :cassepc: :capello: :calin: :bug: :boxe: :bounce: :bluesbro: :bisou: :babyyoda: :assassin: :arrow: :annif: :ange: :amen: :D :??: :?: :/ :-| :-x :-o :-P :-D :-? :-8 :-1: :+1: :) :( 8-O

    Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.

    Copyright © Association SOSOrdi.net 1998-2022 - v1.11.6